標的型メールは見抜くことが難しい。は誤りです

複雑なルールを守らせるより簡単な、正しい恐怖を与える。という方法

サイバー犯罪 日本年金機構の一件で、社内のセキュリティ対策の見直しを余儀なくされている組織も多いことと思います。

 標的型メールの被害に遭わないために、従業員教育の実施を計画したり、新たな運用ルールを検討するなどしているところもあるかもしれません。

 本サイトでも、かねてより標的型メールへの対応をおろそかにすることの愚を説いてきていますが、そもそも、危機意識の低い方はこのページを見ることなどしません。毎月のようにセキュリティインシデントのニュースが新聞紙上などで公表されても、ほとんどの場合は対岸の火事として捉え、自分事として考えるということが有りません。

 だから、何年たっても標的型メールの被害は減るどころか、増える一方なのですが、さすがに日本年金機構や、その後に連続して発表された情報漏えい事件の一件では、当事者のずさんな対応が明るみになるにつれて、日本中から責められる姿を見て、「明日は我が身」として実感した経営者や、セキュリティ担当者が多かったのでしょう。

 また、お客様や取引先から、「お宅は大丈夫なのか?」と問い詰められて、重い腰を上げざるをなくなった。というケースもあるかもしれません。いずれにしても、今回の一連の報道発表により、対岸の火事として傍観している場合じゃなくなった組織が沢山生まれているのは間違いないようです。

正論を吐くよりも効くこと

 日本年金機構のような事件が起きた時、マスコミが取り上げるのは「怒り」や「不安」といった、人の感情を大きく刺激しそうな「ネタ」です。

 こうしたネタは目に留まりやすく、注目を集めやすいことから、マスコミ各社はこうしたネタをこぞって集めます。日本年金機構は、標的型メールによる被害者ですが、マスコミが当事者の「ずさんな対応」をネタとして煽ることで、被害者であるはずの当事者が、逆に情報漏えいの加害者であるかのような印象を与え、それに対する「怒り」や「不安」の声をマスコミが取り上げることで、さらにその声が大きくなっていく。というスパイラルを発生させることに繋がっています。

 そして、こうしたスパイラルの中で当事者が責められる姿を見て、よくあるセキュリティインシデント程度は何も感じなかった人達もようやく、「もし、あそこにいるのが自分だったら・・・」と気づくわけです。

 標的型メールによってもたらされる被害がどのようなものであるかは、もう何年も前から喧伝されている事であり、標的型メールの訓練を実施すれば、大抵の場合、誰かが訓練用の標的型メールを開いてしまうことは、既に事実として明らかになっていることです。日本年金機構のような事件は起こるべくして起こったことであり、そして、規模が小さなものなら、これまでも毎月のように発生していることです。

 つまり、どの組織も「標的型メールに備えなるべきである」という正論はかねてより言われ続けている事ですが、この正論をきちんと正面から捉えて対策を取ってきた組織よりも、日本年金機構の事件をきっかけに「ああ、うちも対策しなきゃ」と気づいた、また、気づかされた組織が多い。というのは、正論を吐く事よりも、「恐怖」や「不安」といった感情に訴えることの方がずっと効果がある。ということを改めて実感させるものです。

 マーケティングの世界では、人に購買行動を起こさせるには五感に訴えることがもはや当たり前。となっていますが、これは何もマーケティングの世界に限ったことではありません。

 人に行動を起こさせるのに最も効く事。それは「人の感情に直接訴えかけること」だということです。

仕組みを作るのは正論だが、正論だけでは目的は達成できない

 日本年金機構のような事件が起きたことによって、「添付ファイルを開く時は必ず上司に確認をとってからするように」などといった、被害の発生を防止するための運用ルールを設けたところもあるかもしれません。

 こうした運用の仕組みを作ることで、確かにその通りにやれば被害の発生は防ぐことができるはず。ということはあるかもしれませんが、実際にそれで効果があるか?というと、せいぜい初めのうちくらいでしょう。日本年金機構においても、正論としての運用ルールは決められていました。しかし、実際にはそれが守られていないケースがあり、被害が発生することに至ったことは周知のとおりです。

 仕組みを作ることは正論であり、それ自体は間違ったことではないと思います。しかし、正論だけでは目的は達成できないのです。私たちは正論は正論として捉えつつも、目的を達成するためには、正論を吐くのとは別のアプローチ方法を取ることを考えなければなりません。

正しい恐怖は、人を自然と行動へと駆り立てる

 人を自然と行動へ駆り立てるものとして、「恐怖」という感情があります。

 「限定商品」と言われると行列ができるのも、深層心理の中で、今手に入れないことが、後で後悔することになるかもしれない。という「恐怖」に繋がるからです。

 それ故に、後になってよくよく考えてみたら、「なんで自分はこんなもの欲しがったんだろう?」という疑問に変わることもしばしばですが、そんな理不尽とも思えるような行動にさえ駆り立てられてしまうもの。それが「感情に訴えかけられる」ことのパワーです。

 もうひとつ例を挙げましょう。

 山に行くと川に吊り橋がかかっていたりしますが、見た目にも不安定で、グラグラと風に揺れているような吊り橋を見れば、誰でも渡ることに恐怖感を感じます。しかし、コンクリートでがっしりと造られ、見た目にも頑丈な吊り橋なら、恐怖感など微塵も感じることなく渡っていけるはずです。たとえそれが、橋げたが老朽化していて、今すぐ崩壊してもおかしくない橋だったとしても。です。

 この例から、正論と恐怖感のどちらが人を行動に駆り立てやすいか?がわかります。

 正論を言えば、どんな橋であれ、目に見えないところで老朽化や手抜き工事の箇所があるかもしれないので、「石橋はたたいて渡れ」です。

しかし、実際に石橋をたたいて渡る人はあまりいないでしょう。これが現実ですが、実際に一部でも崩落すれば、誰もが慎重になって渡るようになります。これが「恐怖感」の力です。

さあ、あなたの組織でも、従業員に正しい恐怖を与えよう

 座学で「標的型メールはこんなに恐ろしい。だから私達も気を付けましょう」というのは正論です。しかし、正論だけでは人は行動しないものです。だから、セキュリティ教育を幾らやっても効果が出ないのです。セキュリティ教育の効果を高めたいなら、その脅威が自分たちの組織においても実際に起こることを見せつけ、実体験として「怖い」と思わせることによって、正しい恐怖心を植え付けることです。

 正しい恐怖心があれば、誰もが自然と気を付けるようになります。メールを読む時、添付ファイルを開く時、自分の中に「恐怖心」があれば、そのメールが正当なものであるかどうかに関係なく、必ず疑いの目を以って見るようになります。どんなに安全な橋でも、一度事故があれば、常に気を付けて渡るようになるのと同じです。

 標的型メールによる被害に遭いたくないのなら、従業員に「正しい恐怖を与える」こと。これに尽きると思います。

 最後に、この記事を書くに思い至ったきっかけを作ってくれた、以下の記事をご紹介して、この記事を締めたいと思います。

正しい恐怖を与えるセキュリティ教育、対策はたった一つの約束から
http://web-tan.forum.impressrd.jp/e/2015/06/17/20189

←前の記事へ(
→次の記事へ(
サブコンテンツ